6-amaliy mashg’ulot
OSSNga asoslangan ASZI fayl tizimi sub'ektlariga kirishni tekshirish va ma'lumotlar va bajariladigan fayllar tarkibining yaxlitligini nazorat qilish funksiyalarini ta'minlashi kerak. Bunday nazorat bizga OSSN tizim jarayonlari tomonidan qayta ishlanadigan ma'lumotlar ASZI uchun e'lon qilinmagan imkoniyatlarga ega emasligini ishonch bilan aytish imkonini beradi.
HVK OSSN yaxlitligini nazorat qilish muammosini hal qilish uchun shaxsiy ma'lumotlarni yaxlitligini boshqarish funksiyalarini bajaruvchi vositalarni o'z ichiga oladi:
• fayllar va optik disklarning nazorat summasini hisoblash va tekshirish;
• tarqatish to'plamiga muvofiqligini nazorat qilish;
• yaxlitlikni muntazam nazorat qilish;
• yopiq dasturiy muhitni yaratish.
OSSN fayl tizimi sub'ektlarining yaxlitligini nazorat qilishning asosiy usuli - nazorat summasini hisoblash orqali ularning modifikatsiyasini nazorat qilish.
Tekshirish summasi - ma'lum algoritmni qo'llash orqali ma'lumotlar to'plamidan hisoblangan va uzatish yoki saqlash vaqtida ma'lumotlarning yaxlitligini tekshirish uchun ishlatiladigan qiymat. Ekvivalentlik uchun ikkita ma'lumotlar to'plamini tezda taqqoslash uchun ishlatiladi: har xil ma'lumotlar to'plamining har xil nazorat summasiga ega bo'lish ehtimoli juda katta.
Tekshirish summasini hisoblash algoritmlari odatda ikki turga bo'linadi:
• Umumiy maqsadli algoritmlar. Bu algoritmlarga, birinchi navbatda, CRC8, CRC16, CRC32 algoritmlari tomonidan amalga oshiriladigan, aloqa kanallari orqali raqamli ma'lumotlarning yaxlitligini tekshirish uchun qo'llaniladigan, davriy takroriylikni tekshirish (CRC) kiradi;
• Kriptografik algoritmlar. Bu algoritmlar xesh protsedurasiga asoslangan - ixtiyoriy uzunlikdagi kirish ma'lumotlari qatorini belgilangan uzunlikdagi chiqish bitli qatoriga aylantirish. Bunday algoritmlarga, masalan, MD algoritmlari oilalari kiradi (Message Digest Algorithm – MD2-MD6), SHA (Secure Hash Algorithm-SHA-1, SHA-2), GOST R 34.11 va boshqalar. Bu algoritmlarning ko'lami uzatilgan va saqlangan ma'lumotlarning yaxlitligi va haqiqiyligini tasdiqlashdan iborat.
KSZ OSSN quyidagi yaxlitlikni nazorat qilish vositalarini o'z ichiga oladi:
1. Kriptografik algoritmlarni amalga oshiruvchi jamoalar:
• md5sum (MD5 algoritmini amalga oshirish);
• shasum (SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/256 va SHA-512/224 algoritmlari oilasini amalga oshirish).
1. OSSN fayl ob'ektlarining uning taqsimlanishiga muvofiqligini tekshirish vositalari:
• gostsum buyrug'i (GOST R 34.11-94, GOST R 34.11-2012 256 va 512 bit algoritmini amalga oshirish);
• fly-admin-int-check grafik yordamchi dasturi.
Belgilangan buyruqlar va yordamchi dasturlar quyidagi komponentlarni o'z ichiga olgan OSSN fayl ob'ektlarining statik yaxlitligini boshqarishni amalga oshiradi:
1. Fayl yaxlitligini kuzatish tizimi (FIM – File integrity monitoring) AFICK (Another File Integrity ChecKer), bu OSSN fayl ob'ektlarining yaxlitligini muntazam (davriy) nazoratini amalga oshiradi - dinamik yaxlitlikni boshqarishning bir varianti.
2. Ilovalarni ishga tushirish paytida ELF formatidagi bajariladigan fayllar va umumiy kutubxonalarning yaxlitligini nazorat qilish mexanizmi. Bu yuklanmagan OSSN yadrosining digsig_verif yadro modulida amalga oshiriladi va quyidagilarni ta'minlaydi:
• GOST R 34.11-94, GOST R 34.11-2012 va GOST R 34.10-2001 va GOST R 34.10-2012 bo'yicha amalga oshirilgan elektron imzo bo'yicha hisoblangan cheklar asosida bajariladigan fayllar va umumiy kutubxonalarning yaxlitligini nazorat qilish. Tekshirish yig'indisi va elektron imzo OSSNni yig'ish paytida ELF fayllariga joylashtiriladi;
• o'rnatilgan dasturiy ta'minotga kiritilgan ELF formatidagi bajariladigan fayllarga elektron imzoni kiritish.
Statik yaxlitlikni boshqarish buyruqlari va yordamchi dasturlari OSSN fayl ob'ektlarini nazorat summalarini hisoblash (compute) va tekshirish (check) rejimlarida ishlaydi.
Masalan, SHA-256 algoritmidan foydalangan holda /root/file nomli fayl ob'ektining nazorat yig'indisidagi shasum buyrug'i quyidagi sintaksisga ega:
shasum –a 256 /root/fayl
Fayl ob'ektining nazorat yig'ish rejimida, statik yaxlitlikni tekshirish buyruqlari ularni to'liq yo'lini matnli faylda mos yozuvlar cheklari ko'rsatilgan ob'ektlar uchun hisoblab chiqadi va ularni ushbu faylning mos yozuvlar yig'indisi bilan solishtiradi. Nazorat yig'indisini tekshirish rejimida ularning bajarilishining natijasi format satrini standart chiqishga o'tkazish(agar nazorat yig'indilari mos kelsa):
полный_путь_к_файловой_сущности: ОК
yoki (agar ular mos kelmasa):
полный_путь_к_файловой_сущности: FAILED
Masalan, shasum buyrug'i SHA-256 algoritmidan foydalangan holda va /root/dir1 katalogidagi fayl ob'ektlarining nazorat summasini tekshirish rejimida va /root/dir1.sha mos yozuvlar summasiga ega bo'lgan matnli fayl mavjud bo'lganda, quyidagi sintaksis mavjud bo’ladi:
shasum –a 256 –с /root/dir1.sha
GOST R 34.11-2012 256 bitli kriptografik algoritmdan foydalangan holda OSSN fayl ob'ektlarining nazorat summasini hisoblash uchun quyidagi sintaksisga ega bo'lgan gostsum buyrug'i ishlatiladi:
gostsum полный_путь_к_файловой_сущности –o полный_путь_к_файловой_сущности_с_контрольными_суммаи
OSSN tomonidan o'rnatilgan modullarning tarqatish to'plamiga kiritilgan modullarga mosligini tekshirish uchun quyidagi interfeysga ega bo'lgan fly-admin-int-check grafik yordamchi dasturi ishlatiladi:
Bu tekshirishni amalga oshirish uchun OSSN taqsimotiga gostsum buyrug'i tomonidan yaratilgan va tarqatish dasturlari paketlariga kiritilgan barcha fayllarning nazorat summasining ro'yxatini o'z ichiga olgan gostsums.txt fayli kiradi. Olingan hisobot * .txt, * .htm va * .xml formatida saqlanadi.
O'rnatilgan OSSN modullarining uning taqsimotiga kiritilgan modullarga muvofiqligini tekshirish statik yaxlitlikni boshqarishning bir variantidir va o'rnatish bosqichida OSSN ning ildiz bo'limiga ko'chirilgan fayl ob'ektlarining yaxlitligini nazorat qilishni ta'minlaydi. Modullarning ish jarayonida sodir bo'lgan moddiy ob'ektlarida hech qanday o'zgarish yo'qligiga ishonch hosil qiling.
Biroq, bunday tekshirish OSSN, masalan, konfiguratsiya fayllari ishlashi davomida ko'p marotaba o'zgarib turadigan fayl ob'ektlari uchun samarasizdir. Bundan tashqari, faqat fayllar yig'indisi yaxlitligini tekshirish vaqt belgilari, diskretsion atributlar (Minimal ACL va EA ACL) va mandatli xavfsizlik yorliqlari kabi fayl atributlariga ta'sir qilmaydi. Ro'yxatda ko'rsatilgan fayl atributlarini tekshirishni ta'minlaydigan kengaytirilgan fayl yaxlitligini nazorat qilish uchun OSSN MD5 va SHA-1 kriptografik algoritmlari yordamida fayllar va ularning atributlari yaxlitligini nazorat qilish funksiyalarini bajaradigan AFICK fayl yaxlitligini nazorat qilish tizimidan foydalanadi. OSSN AFICK tizimining o'zgartirilgan versiyasidan foydalanadi, u GOST R 34.11 kriptografik algoritmini qo'shimcha ravishda amalga oshiradi (gostsum ilovasi uchun GOST R 34.11-94 va GOST R 34.11-2012 algoritmlari kalit uzunligi 256 yoki 512 bit bo'lgan qo'shimcha qo'llab-quvvatlanadi), shuningdek, xavfsizlik auditi mandatli teglar va kichik tizim atributlarini nazorat qilish. Bundan tashqari, AFICK tizimi kataloglarning yaxlitligini tekshirish qoidalarini sozlash imkoniyatiga ega.
AFICK tizimini cron jadvalida dasturlarni ishga tushirish xizmati bilan integratsiyalashganligi tufayli OSSN fayl ob'ektlarining yaxlitligini muntazam (davriy) nazoratini amalga oshirish mumkin.
AFICK tizimida quyidagi interfeys mavjud (uni boshlash uchun afick-tk buyrug'idan foydalanishingiz mumkin):
AFICK konfiguratsiya fayli /etc/afick.conf - bo'limlarga bo'lingan matnli fayllardan iborat.
Taxalluslar bo'limi yaxlitlikni nazorat qilish harakatlarining ro'yxatini o'z ichiga oladi, undan kataloglar va fayllarni boshqarish qoidalari tuziladi.
Quyidagi harakatlar tekshiriladi:
• berilgan kriptografik algoritm (md5, sha1) yordamida olingan nazorat summalari;
• katalog yoki fayl ob'ektining inode (i), uning hajmi (o'lchami) va vaqt tamg'alari (mtime, ctime, atime);
• katalog yoki fayl ob'ektining UID va GID (foydalanuvchi, guruh), shuningdek unga kirish huquqlari (ruxsatnomalar).
OSSN xavfsizlik quyi tizimini tashkil etishga kelsak, uchta harakat qo'shimcha ravishda belgilanadi:
• e: parsec mac - fayl ob'ektlarining mandatli xavfsizlik belgilarining yaxlitligini nazorat qilish;
• t: parsec aud - OSSN xavfsizlik auditi tizimining ma'lumotlar yaxlitligini nazorat qilish;
• gost: gost - GOST R 34.11 kriptografik algoritmi yordamida fayl ob'ektlarining yaxlitligini nazorat qilish.
Bu harakatlar natijasida alias bo'limida kataloglar (DIR), OSSN konfiguratsiya fayllari (ETC) va audit tizimining jurnal fayllari (jurnallar) uchun odatiy qoidalar shakllantiriladi.
Masalan, ko’rinish kataloglari uchun qoida:
DIR = p+i+n+u+g
ruxsatnomalar, metadata, havolalar soni va boshqa standart atributlarni tekshirishni bajarish kerakligini ko'rsatadi.
Bundan tashqari, harakatlar bo'limi PARSEC xavfsizlik quyi tizimiga xos qoidalarni o'z ichiga oladi - PARSEConly, PARCEC va GOST. Masalan, PARSEC shakli qoidasi:
PARSEC = p+d+i+n+u+g+s+b+md5+m+e+t
MD5 kriptografik algoritmidan foydalangan holda fayl ob'ektlarining standart atributlarini tekshirish, kengaytirilgan atributlarni (xavfsizlik yorliqlari va audit bayroqlari) va ushbu fayl ob'ektlarining ACLlarini tekshirish zarurligini bildiradi.
GOST qoidasining ko’rinishi:
GOST = p+d+i+n+u+g+s+b+gost+m+e+t
gost parametri GOST R 34.11 kriptografik algoritmi yordamida fayl ob'ektlarining standart atributlarini tekshirish zarurligini ko'rsatadi.
files to scan fayllarni skanerlash bo'limi yaxlitlikni muntazam nazorat qilinadigan kataloglar va fayl ob'ektlariga qo'llaniladigan to'liq yo'llar va qoidalarni bildiradi. files to scan fayllarni skanerlash bo'limidagi yozuvlar formati quyidagicha:
file action - kataloglar, pastki kataloglar va fayl ob'ektlarini parametr bilan tekshiradi "действия";
!file - file obyekti fayli kataloglar va pastki kataloglarni skanerdan chiqarildi;
=directory action - "действия" parametri bilan faqat katalog skanerlanadi va pastki kataloglar skanerdan chiqariladi.
Masalan:
/boot GOST - GOST qoidasi yordamida /boot katalogidagi barcha pastki kataloglar va fayllarni tekshiring;
=/ DIR - DIR qoidasi bilan faqat pastki kataloglarni hisobga olmaganda, ildiz katalogini tekshirish;
!/root/.bash_history - fayl ob'ektining /root katalogida tekshirishni istisno qilish .bash_history
Fayl ob'ektlari va kataloglarining yig'indisi va atributlarining mos yozuvlar qiymatlari ndbm kengaytmasi bo'lgan faylda AFICK ma'lumotlar bazasida saqlanadi. Bu ma'lumotlar bazasi /etc/afick.conf faylining "files to scan" bo'limi parametrlariga muvofiq yaratilgan.
Butunlikni nazorat qilish natijalari log-fayllari shaklida saqlanadi:
• majburiy (administrator tashabbusi bilan) nazorat qilingan taqdirda - log fayllaridagi /var/lib/afick/archive katalogida. AFICK tizimi ma'lumotlar bazasini yangilash (yangilash) natijalari YYYYMMDDHHMMSS shunga o'xshash log-fayllarda saqlanadi;
• rejali (davriy, cron xizmati tomonidan boshlangan) boshqaruv holatida - /var/log/afick katalogida afick.log.N nom formatidagi jurnal fayllarida (bu yerda N 1 dan 7 gacha qiymatlarni oladi).
OSSN da yopiq dasturiy muhitni yaratish vositasi - yuklanmaydigan OSSN yadrosi digsig_verif moduli uchta rejimda ishlaydi (kengaytirilgan atributlarda imzolarni tekshirish usullari xuddi shunday qo'llaniladi, ya'ni DIGSIG_XATTR_MODE parametri yordamida faqat ELF fayllari uchun emas):
• Oddiy rejim - ELF formatidagi bajariladigan fayllar va ES bo'lmagan yoki noto'g'ri ES (DIGSIG_ELF_MODE = 1) bo'lgan umumiy kutubxonalar uchun bajarilishi taqiqlanadi;
• Tizim dasturiy ta'minot asboblar to'plamida ESni tekshirish rejimi - ELF formatidagi bajariladigan fayllar va ES bo'lmagan yoki noto'g'ri ESga ega bo'lgan umumiy kutubxonalar, bajarishga ruxsat beriladi, lekin ESni tekshirish xatosi haqida xabar ko'rsatiladi (DIGSIG_ELF_MODE = 2);
• Tizimli dasturiy vositalar to'plamini sinab ko'rish uchun disk raskadrovka rejimi (tartib bo'yicha o'rnatiladi) - ES ELF formatidagi bajariladigan fayllar va umumiy kutubxonalarning tekshirilmagan (DIGSIG_ELF_MODE = 0).
Digsig_verif modulining ishlashining yuqoridagi rejimlaridan birini tanlash uchun siz konfiguratsiya faylini tahrir qilishingiz kerak /etc/digsig/digsig_initramfs.conf.
Digsig_verif moduli fly-admin-smc grafik interfeysi yoki quyidagi fayllar yordamida sysfs fayl tizimi interfeysi orqali boshqariladi:
• /sys/digsig/enforce - yuqoridagi ish rejimlari ushbu faylda ko'rsatilgan;
• /sys/digsig/key - ES asosiy kalitini yuklash uchun fayl;
• /sys/digsig/additional - qo'shimcha ES kalitlarini yuklash uchun fayl.
Tizim dasturini imzolash uchun har bir qo'shimcha kalit /etc/digsig/keys katalogiga joylashtirilishi kerak.
Qo'shimcha kalitlar GOST R 34.11-94 va GOST R 34.11-2012 kriptografik algoritmlarini ishlatish uchun o'zgartirilgan gpg buyrug'i (GNU Privacy Guard) yordamida yaratiladi.
Ma'lumotlar yaxlitligini nazorat qilish va tarqatishni boshqarish vositalarini boshqarishda, shuningdek yopiq dasturiy muhitni yaratish vositalari bilan ishlashda quyidagi buyruqlar qo'llaniladi:
• afick - fayl obyekti yaxlitligini nazorat qilish tizimining parametrlarini boshqarish buyrug'i;
• bsign - ELF fayllarida elektron imzoni yaratish va tekshirish buyrug'i;
• digsig_initramfs - ERI kalitlarini yuklash va digsig_verif modulining Enforce rejimini ishga tushirish buyrug'i;
• fly-admin-int-check -fayl ob'ektlarining yaxlitligini nazorat qilish uchun grafik yordamchi dastur;
• gpg - foydalanuvchi sertifikatlari bilan ishlash buyrug'i;
• lsmod - yuklangan yadro modullari ro'yxatini olish buyrug'i;
• modinfo - ko'rsatilgan yadro moduli haqida ma'lumot olish buyrug'i;
• md5sum, gostsum, shasum - nazorat summasini hisoblash buyrug'i;
• update -initramfs - OSSN boshlang'ich yuklash tasvirini ishga tushirish buyrug'i (initrd).
Ishni bajarish tartibi
1. user hisob qaydnomasi foydalanuvchisi bilan OSSNga grafik rejimda kirish bilan ishlashni boshlang (kirish darajasi - 0, ierarxik bo'lmagan toifalar - yo'q, yaxlitlik darajasi - "Высокий") va sudo fly-term bilan "привилегированном" rejimda Fly terminalini ishga tushiring.
2. Uy katalogingizda checksum nazorat yig'indisi pastki katalogini yarating va unga /etc katalogidan barcha fayllarni (shu jumladan, pastki kataloglarni) nusxa ko'chiring.
3. MD5 algoritmidan foydalanib, /home/user/checksum katalogidagi barcha fayllarning nazorat summasini hisoblang va ularni hisoblash natijasini /home/user/md5check fayliga va xatolar ro'yxati bilan oqimni faylga yo'naltiring. /home/user/error.md5, md5sum /home/user/checksum/* > /home/user/md5check 2>/home/user/error.md5. buyrug'i yordamida.
4. cat /home/user/md5check; cat /home/user/error.md5 buyruqlar zanjiri /home/user/md5check va /home/user/error.md5 fayllarining mazmunini terminalga chiqaring;
5. SHA-512/256 algoritmidan foydalanib, /home/user/checksum katalogidagi barcha fayllarning nazorat summasini hisoblang va hisob natijasini shasum –a 512256 /home/user/checksum/* > /home/user/sha512256check.bilan /home/user/sha512256check faylga yo'naltiring. /home/user/sha512256check komandasi bilan less /home/user/sha512256check Fayl tarkibini ko'rsatin.
6. Vim muharriridan foydalanib, superuser hisobini olib tashlash uchun /home/user/checksum/passwd faylining tarkibini o'zgartiring (chiziq root:x:0:0:root:/root:/bin/bash).
7. MD5 algoritmidan foydalanib, /home/user/checksum katalogidagi barcha fayllarning nazorat summasini tekshiring va md5sum –c ./md5check > /home/user/fullcheck yordamida tekshirish natijasini /home/user/fullcheck fayliga yo'naltiring.
8. SHA-512/256 algoritmidan foydalanib, /home/user/checksum katalogidagi barcha fayllarning nazorat summasini tekshiring va tekshirish natijasini (qo'shimchalar bilan) shasum –a 512256 –c ./sha512256check >> /home/ user/fullcheck faylga yo'naltiring.
9. Fayldan /home/user/fullcheck satrlarni toping (ПОВРЕЖДЁН и FAILED so'zlarni o'z ichiga olgan), ularning mazmuni va sonini grep buyruqlar zanjiri bilan terminalga chop eting grep ‘ПОВРЕЖДЁН’ /home/user/fullcheck> /home/user/tmpcheck ; grep ‘FAILED’ /home/user/fullcheck >> /home/user/tmpcheck ; wc –l /home/user/tmpcheck ; less /home/user/tmpcheck
10. GOST R 34.11-2012 algoritmidan (256 bit) foydalanib, /home/user/checksum/shadow faylining yig'indisini hisoblang, tekshirish natijasini /home/user/gostcheck faylga yo'naltiring va fayl tarkibini aks ettiring. /home/user/gostcheck /home/user/ terminalga o'tishni tekshiring. buyruqlar zanjiri gostsum /home/user/checksum/shadow –o ./gostcheck ; less. /home/user/gostcheck
11. OSSN tarqatish to'plami bilan optik diskni o'rnating va GOST R 34.11-2012 algoritmidan (256 bit) foydalanib, uning nazorat summasini hisoblang (optik disk qurilmasi fayli /dev/sr0) va hisoblash natijasini qayta yo'naltiring. /home/user/isocheck buyrug’I bilan gostsum –d /dev/sr0 > /home/user/isocheck (buyruqlar bajarilishi uzoq davom etadi).
12. fly-admin-int-check grafik yordamchi dasturini ishga tushiring va " Параметры проверки целостности" yorlig'ida:
• "Astra smolensk amd64" qurilmasining o'rnatish nuqtasini tanlang (ko'pincha kataloglar /media/cdrom yoki /media/cdrom0) va o'rnating;
• katalogdagi barcha fayllarga mutlaq yo'lni o'z ichiga olgan oddiy iborani qo'shish orqali "Принудительно" bo'limida yaxlitlikni tekshirish filtrini sozlash. /usr/lib: /usr/lib/*;
• " Игнорировать " bo'limida yaxlitlikni tekshirish filtrini /tmp katalogiga mutlaq yo'lni o'z ichiga olgan oddiy iborani olib tashlash orqali sozlang;
• "Отчёты" bo'limida /home/user/report katalogidagi report.txt faylining yo'lini ko'rsatish orqali faqat hisobot faylining matn formatini o'rnating;
• vim /usr/share/doc/libcap2/copyright buyrug'i bilan /usr/share/doc/libcap2/copyright mualliflik huquqi faylining mazmunini o'zgartirish, dastlabki ikki qatorni o'chirish;
• tekshirishni boshlang va tekshirishning taxminiy vaqtini belgilang, "Состояние" yorlig'iga o'ting va tekshirish holatini nazorat qiling, tekshirish tugagandan so'ng grafik yordamchi dasturini yoping;
• /home/user/report.txt faylidan "Butunligi buzilgan fayllar", "Boshqarish sum " va «/usr/share/doc/libcap2/copyright» va qidiruv natijalarini buyruqlar zanjiri bilan /home/user/report-2 fayliga saqlang: grep" Butunligi buzilgan fayllar " /home/user/report.txt -A 4 > /home/user/report-2; grep "Boshqarish sum" '/home/user/report.txt -A 4 >> / home / user / report -2; grep ' / usr / share / doc / libcap2 / copyright ' /home/user/report.txt >> / home / user / report-2.
1. AFICK konfiguratsiya faylining /etc/afick.conf ko'rsatmalari bo'limini tahrir qiling, ishlaydigan ilovalarni skanerlashni bekor qiling: direktivalar bo'limining asl versiyasi: directives: running_files := yes, direktivalar bo'limining tahrirlangan versiyasi: directives: running_files := 0.
2. AFICK tizimining /etc/afick.conf konfiguratsiya faylining alias bo'limini tahrir qiling:
• fayl ob'ektlarining o'lchamini tekshirishni olib tashlash va ularni o'zgartirish vaqtini belgilash orqali ETC qoidasini o'zgartiring: asl qoida: ETC = p+d+i+u+g+s+md5, tahrirlangan qoida: ETC = p+d+i+u+g+m+md5;
• MyRule qoidasini tahrir qiling, undan havola qilinadigan fayllar ob'ektlarini tekshirishni olib tashlang va mandatli xavfsizlik belgilarining yaxlitligini nazorat qilishni, xavfsizlik auditi tizimining ma'lumotlar yaxlitligini nazorat qilishni va GOST R 34.11 yordamida yaxlitlikni nazorat qilishni qo'shing. MD5 algoritmi o'rniga 2012 kriptografik algoritmi: qoidaning asl versiyasi: MyRule = p + d + i + n + u + g + s + b + md5 + m, qoidaning tahrirlangan versiyasi: MyRule = p + d + i + u + g + s + b + gost + m + e + t .
/Etc/afick.conf konfiguratsiya faylining fayl qismini tahrirlang:
• / boot katalogining GOST tekshirish qoidasini PARSEC tekshirish qoidasi bilan almashtiring: original versiya: /boot GOST, tahrirlangan versiya: /boot PARSEC;
/etc/fstab fayl obyekti uchun MyRule fayllari uchun /etc/fstab MyRule tekshirish qoidasini qo'shing;
• /lib katalogi uchun standart tekshirish qoidasini faollashtiring: dastlabki versiya:
#/lib MyRule, tahrirlangan versiya: : /lib MyRule.
1. AFICK tizimi ma'lumotlar bazasini afick –u buyrug'i bilan fayl bo'limiga kiritilgan o'zgarishlarni hisobga olgan holda yangilang.
2. Dastlabki ikkita qatorni olib tashlash orqali /etc/fstab faylining mazmunini o'zgartiring.
3. Asosiy foydalanuvchi menyusining "Системные" menyusidan AFICK tizimini boshqarish uchun " Контроль целостности файлов" grafik yordamchi dasturini (afick-tk) ishga tushiring va amalni tanlash orqali mandatli yaxlitlikni tekshiring - baza bilan taqqoslash.
4. Butunlik nazoratini tugatgandan so'ng:
• "Файл — история" menyusidagi afick-tk yordamchi dasturida oxirgi mandatli yaxlitlikni boshqarish sanasi va vaqtini belgilang;
• /var/lib/afick/archive katalogidan bajarilgan mandatli tekshiruvga mos keladigan log faylini toping (jurnal fayl nomidagi YYYYMMDDHHMMSS qiymati oldingi paragrafda ko'rsatilgan tekshirish sanasi va vaqtiga mos kelishi kerak);
• topilgan log faylini less buyrug'i yordamida ko'ring va uning #detaled changes bo'limida /etc/fstab faylining yaxlitligi buzilganligi haqidagi yozuvni toping (bo'lim o'zgartirilgan fayl: / etc / fstab);
• topilgan yaxlitlik buzilishi yozuvini tahlil qiling va yaxlitlikni buzish harakatiga mos keladigan parametrlarni va ularning joriy qiymatlarini aniqlang.
1. Fly terminalini sudo fly-term buyrug'i bilan "привилегированном" rejimda ishga tushiring.
2. Yuklangan OSSN yadro modullarini ko'ring va lsmod | grep “digsig_verif” yordamida yuklanmagan terminal ma'lumotlarini chiqarish. Savolga javob bering: digsig_verif moduli boshqa yuklanadigan (yuklanmaydigan) modullar bilan bog'liqmi?
3. modinfo digsig_verif buyrug'i bilan digsig_verif moduli haqidagi ma'lumotlarni ko'ring. Digsig_verif modulining joylashuvi va ishlab chiquvchi ma'lumotlarini aniqlang.
4. Fayllarning elektron imzosini tekshirish uchun ishlatiladigan ochiq kalitlarni import qiling. Buning uchun quyidagi bosqichlarni bajaring:
• joriy kalitlarni gpg --list-sigs buyrug'i bilan ko'rish uchun /root/.gnupg katalogini ishga tushirish;
• gpg --import /etc/digsig/primary_key_2018.gpg buyrug'i bilan "RPA RusBITech AJ (PRIMARY RBT ROOT KEY 2018)" ochiq kalitini import qiling;
• ochiq kalitlarni partners_rbt_root_key_2018.gpg va build_system_rbt_root_key_2018.gpg (bu kalitlar OSSN fayllarini imzolash uchun ishlatiladi) gpg --import / etc / digsig / key_file_name buyrug'i yordamida import qiling.
1. Joriy kalitlarni gpg --list-sigs buyrug'i bilan sanab bering. "JSC RPA RusBITech (PRIMARY RBT ROOT KEY 2018)" asosiy kalitining identifikatorini aniqlang. U ilgari yuklangan boshqa kalitlarga imzo qo'yish uchun ishlatilganmi?
2. bsign -w $(which dash) buyrug'i bilan /bin/dash faylining elektron imzosi to'g'riligini tekshiring. "Signer:" qatorida ushbu fayl qaysi identifikator tomonidan imzolanganligini aniqlang.
3. Umumiy kalitni /etc/digsig/ build_system_rbt_root_key_2018.gpg kodini / etc/digsig/keys katalogiga cp /etc/digsig/build_system_rbt_root_key_2018.gpg / etc / digsig / keys buyrug'i yordamida qayta yozing.
4. /etc/digsig katalogiga o'ting va digsig_initramfs.conf faylini o'zgartiring (DIGSIG_ELF_MODE qiymatini 1 ga o'rnating).
5. " Панели управления " da " Замкнутой программной среды " sozlamasini ochib, ushbu parametrni to'g'riligini tekshiring.
6. Digsig_initramfs buyrug'i bilan digsig_verif moduliga yuklash orqali kalitning to'g'riligini tekshiring (bu buyruqni topish uchun find buyrug'idan foydalanishingiz mumkin).
7. gpg --full-generate-key buyrug'i yordamida qo'shimcha ERI kalitini yarating. Gpg buyrug'i bilan:
• 15-bandni tanlang "GOST R 34.10-2012", 0 qiymatini tanlab qo'shimcha ERI kalitining amal qilish muddatining cheklanmaganligini ko'rsating;
• Real Name: rooterver, Email: root@server.test parametrlarini ko'rsating va foydalanuvchi identifikatorini oling: "Rootserver ".
1. Joriy kalitlarni gpg --list-sigs buyrug'i bilan ro'yxatlang va "rooterver " kalit identifikatorini aniqlang.
2/bin/dash faylini /root katalogiga ko'chiring, yangi fayl nomini 1.elf deb belgilang.
3. 1.elf faylini bsign-sign /root/1.elf buyrug'i yordamida "rooterver " yangi kaliti bilan imzolang.
4. bsign -w /root/1.elf buyrug'i yordamida yangi fayl imzosini ko'rsating va "signer:" qatoridagi ERI kalit identifikatori "rooterver " tugmachasiga mos kelishini tekshiring.
5. /etc/digsig/digsig_initramfs.conf konfiguratsiya faylidagi DIGSIG_ELF_MODE = 1 kalitining qiymatini belgilash orqali digsig_verif moduli yordamida elektron imzo tekshirishning oddiy rejimini yoqing.
6. Sudo update -initramfs -u -k all buyrug'i bilan sozlamalarni faollashtiring, so'ngra OSSNni qayta ishga tushiring va qayta kiriting.
7. Fly terminalini sudo fly-term buyrug'i bilan " привилегированном " rejimda ishga tushiring.
8. cat / sys / digsig / elf_mode buyrug'i bilan digsig_verif modulining normal ishlash rejimi yoqilganligini tekshiring ("1" qiymati / sys / digsig / elf_mode faylida o'rnatilishi kerak).
9. "rooterver " kaliti yordamida imzolangan /root/1.elf faylini ishga tushirishga harakat qilib ko'ring (bu kalit " JSC RPA RusBITech (PRIMARY RBT ROOT KEY 2018" RPA bosh kaliti bilan imzolanmagan (PRIMARY RBT ROOT KEY 2018) ) "), va ko'rsatilgan xatolarni tahlil qiling.
10. /etc/digsig/digsig_initramfs.conf konfiguratsiya faylidagi DIGSIG_ELF_MODE = 0 kalitining qiymatini o'rnating, update -initramfs -u -k all buyrug'i bilan sozlamalarni faollashtiring, so'ngra OSSNni qayta ishga tushiring va qayta kiriting.
11. Fly terminalining " привилегированном " rejimida /root/1.elf buyrug'ini bajaring va ko'rsatilgan xatolarni tahlil qiling.
12. Ishlayotgan "dash" interpretatoridan (1.elf fayli) chiqish buyrug'i bilan chiqing. Update -initramfs -u -k all buyrug'i bilan sozlamalarni faollashtiring, so'ngra OSSNni qayta ishga tushiring va qayta kiriting.
13. Agar qo'shimcha ERI kalitlari mavjud bo'lsa (kalitlar ishlab chiqaruvchidan olinishi va "RPA RusBITech" bosh kalitining imzosi bilan imzolangan bo'lishi kerak), quyidagi amallarni bajaring (bundan keyin kalit fayl nomlari sign_public.gpg - ochiq kalit) , sign_secret.gpg - shaxsiy kalit):
• Fly terminalining " привилегированном " rejimida rm -r /root/.gnupg buyrug'i yordamida /root/.gnupg papkasidagi kalitlarni tozalang;
• kalitlarni gpg --import sign_public.gpg buyruqlari yordamida import qiling; gpg -import belgisi_secret.gpg;
• umumiy kalitni gpg buyrug'i - import /etc/digsig/primary_key_2018.gpg yordamida import qiling;
• gpg --list-sigs buyrug'i bilan kalitlarning importini tekshiring va ikkita kalit ko'rsatilishi kerak;
• cat /etc/digsig/build_system_rbt_root_key_2018.gpg> / sys / digsig / keys buyrug'i bilan digsig_verif moduliga haqiqiy ERI kalitini qo'shing;
• cat sign_public.gpg> / sys / digsig / keys buyrug'i yordamida digsig_verif moduliga yangi ERI kalitini qo'shing;
• fayllarning elektron imzosini tekshirish rejimini faollashtirish uchun echo "1"> / sys / digsig / elf_mode buyrug'ini bajaring;
• cp /root/1.elf /root/1signed.elf buyrug'i bilan /root/1.elf faylini yangi faylga nusxalang;
• /root/1.elf buyrug'ini bajaring va ko'rsatilgan xatolarni tahlil qiling (bu fayl "rooterver " ERI kaliti ishlatilganligi sababli ishga tushmasligi kerak);
• 1signed.elf faylini bsign --sign /root/1signed.elf buyrug'i bilan imzolang, so'ng bsign -w /root/1signed.elf buyrug'i bilan elektron imzoni tekshiring;
• imzolangan faylni /root/1signed.elf buyrug'i bilan ishga tushiring va xatolar yo'qligini tekshiring;
• OSSNni qayta yuklang va qayta kiriting, sudo fly-term buyrug'i bilan "привилегированном" rejimda Fly terminalini ishga tushiring;
• cat / sys / digsig / elf_mode buyrug'i bilan digsig_verif modulining joriy rejimini tekshiring (rejim 0 ga teng bo'lishi kerak);
• / root katalogiga o'ting, 1signed.elf va 1.elf fayllarini ishga tushiring, so'ng olingan natijalar va ko'rsatilgan xatolarni tahlil qiling;
• cat / etc / digsig / build_system_rbt_root_key_2018.gpg> / sys / digsig / kalitlari va cat sign_public.gpg buyrug'i bilan digsig_verif moduliga ERI kalitlarini qo'shing > / sys / digsig / keys, fayllarni qayta ishga tushirish 1signed.elf, 1.elf; va keyin natijalarni tahlil qiling.
1. Kalitlarni yarating va konfiguratsiya faylini imzolang.
• tezkor hisob buyrug'i yordamida foydalanuvchi hisobidan Fly terminalini ishga tushirish;
• /etc/passwd va /bin/dash fayllarini ~ katalogiga ko'chiring va egasini user.user ga o'zgartiring;
• gpg--full-generate-key buyrug'i bilan xattr-key-sign kirish uchun asosiy kalitni yaratish buyrug'ini bajaring, (15) algoritmini tanlang va nomini o'rnating: xattr-key;
• gpg --full-generate-key buyrug'i yordamida xattrga kirish uchun kalit yaratish buyrug'ini bajaring, (15) algoritmini tanlang va nomini o'rnating: xattr-key-sign;
• "xattr-key-sign" kalitini gpg --sign-key "xattr-key-sign"> xattr-key-sign.gpg buyrug'i bilan imzolang;
• "xattr-key" kalitini gpg --export "xattr-key" xattr-key.gpg buyrug'i bilan eksport qiling;
• gpg --list-sigs buyrug'i bilan "xattr-key-sign" imzolangan kalit mavjudligini tekshiring ("xattr-key-sign" kaliti "xattr-key" kaliti bilan imzolanishi kerak);
• "xattr-key" va "xattr-key-sign" kalitlarining identifikatorlarini eslab qoling (o'n oltilik formatdagi 8 bayt-16 ta belgi);
• ~ / passwd faylining xeshini yarating va bsign --hash ~ / passwd buyrug'i bilan kengaytirilgan atributlarga yozing (foydalanuvchidan shaxsiy kalitni qulfini ochish uchun hech qanday kalit so'ralmasligini unutmang);
• quyidagi mazmundagi ~ / .gnupg / gpg.conf faylini yarating: default-key id_key_xattr-key-sign;
• passwd faylini bsign --sign ~ / passwd buyrug'i bilan imzolang;
• bsign -w ~ / passwd buyrug'i bilan passwd faylining imzosini tekshiring;
• fayl imzolari bilan ishlash uchun kalitlarni (xattr-key-sign.gpg va xattr-key.gpg) / etc / digsig / xattr_keys katalogiga nusxalang;
• grafik fayl menejerida fly-fm "Домашний" katalogiga o'ting va kontekst menyusida passwd faylining " Свойства ", " Подпись " ni oching;
• " Загрузить ключи " va " Информация " tugmachalarini bosing, bunda yaratilgan xeshning to'g'riligi va imzo mavjudligini tekshiring.
|